As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
NIST SP 800-53 Revisão 5 no CSPM do Security Hub
A Publicação Especial 800-53 Revisão 5 do NIST (NIST SP 800-53 Rev. 5) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo Instituto Nacional de Padrões e Tecnologia (NIST), uma agência que faz parte da. U.S Departamento de Comércio. Essa estrutura de conformidade fornece um catálogo de requisitos de segurança e privacidade para proteger a confidencialidade, integridade e disponibilidade de sistemas de informação e recursos essenciais. U.S. agências e prestadores de serviços do governo federal devem cumprir esses requisitos para proteger seus sistemas e organizações. As organizações privadas também podem usar voluntariamente os requisitos como uma estrutura orientadora para reduzir os riscos de segurança cibernética. Para obter mais informações sobre a estrutura e seus requisitos, consulte NIST SP 800-53 Rev. 5
AWS O Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-53 Revisão 5. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-53 Revisão 5 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-53 Revisão 5 que exigem verificações manuais.
Ao contrário de outras estruturas, a estrutura do NIST SP 800-53 Revisão 5 não é prescritiva sobre como seus requisitos devem ser avaliados. Em vez disso, a estrutura fornece diretrizes. NO CSPM do Security Hub, o padrão e os controles do NIST SP 800-53 Revisão 5 representam a compreensão do serviço sobre essas diretrizes.
Tópicos
Configuração do registro de recursos para controles que se aplicam ao padrão
Para otimizar a cobertura e a precisão das descobertas, é importante ativar e configurar o registro de recursos AWS Config antes de ativar o padrão NIST SP 800-53 Revisão 5 no AWS Security Hub CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Isso é principalmente para controles que tenham um tipo de programação acionada por alteração. Contudo, alguns controles com um tipo de programação periódica também exigem o registro de recursos. Se o registro de recursos não estiver habilitado ou configurado corretamente, o CSPM do Security Hub talvez pode não ser capaz de avaliar os recursos apropriados e gerar descobertas precisas para os controles que se aplicam ao padrão.
Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos em AWS Config, consulte. Habilitando e configurando AWS Config para Security Hub CSPM Para obter informações sobre como configurar a gravação de recursos em AWS Config, consulte Como trabalhar com o gravador de configuração no Guia do AWS Config desenvolvedor.
A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-53 Revisão 5 no CSPM do Security Hub.
| AWS service (Serviço da AWS) | Resource types |
|---|---|
|
Amazon API Gateway |
|
|
AWS AppSync |
|
|
AWS Backup |
|
|
Amazon Bedrock AgentCore |
|
|
AWS Certificate Manager (ACM) |
|
|
AWS CloudFormation |
|
|
Amazon CloudFront |
|
|
Amazon CloudWatch |
|
|
AWS CodeBuild |
|
|
AWS Database Migration Service (AWS DMS) |
|
|
Amazon DynamoDB |
|
|
Amazon Elastic Compute Cloud (Amazon EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon Elastic Kubernetes Service (Amazon EKS) |
|
|
AWS Elastic Beanstalk |
|
|
Elastic Load Balancing |
|
|
Amazon ElasticSearch |
|
|
Amazon EMR |
|
|
Amazon EventBridge |
|
|
AWS Glue |
|
|
AWS Identity and Access Management (IAM) |
|
|
AWS Key Management Service (AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
Amazon Managed Streaming for Apache Kafka (Amazon MSK) |
|
|
Amazon MQ |
|
|
AWS Network Firewall |
|
|
OpenSearch Serviço Amazon |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
banco de dados de origem |
|
|
Amazon Route 53 |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
AWS Service Catalog |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
| Amazon EC2 Systems Manager (SSM) |
|
|
SageMaker IA da Amazon |
|
|
AWS Secrets Manager |
|
|
AWS Transfer Family |
|
|
AWS WAF |
|
Determinação de quais controles se aplicam ao padrão
A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-53 Revisão 5 e se aplicam ao padrão NIST SP 800-53 Revisão 5 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo Requisitos relacionados nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
-
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
-
[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso
-
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade
-
[Backup.1] AWS Backup os pontos de recuperação devem ser criptografados em repouso
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
-
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
-
[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
-
[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
-
[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
-
[EC2.1] Os snapshots do Amazon EBS não devem ser configurados para serem restauráveis publicamente
-
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída
-
[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso
-
[EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
-
[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
-
[EC2.9] As instâncias do Amazon EC2 não devem ter um endereço IPv4 público
-
[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints VPC criados para o serviço Amazon EC2
-
[EC2.12] Os EIPs do Amazon EC2 não utilizados devem ser removidos
-
[EC2.15] As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] As instâncias do Amazon EC2 não devem usar vários ENIs
-
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
-
[EC2.20] Ambos os túneis VPN para um AWS Site-to-Site A conexão VPN deve estar ativa
-
[EC2.24] Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
-
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[EC2.55] As VPCs devem ser configuradas com um endpoint de interface para a API ECR
-
[EC2.56] As VPCs devem ser configuradas com um endpoint de interface para o Docker Registry
-
[EC2.57] As VPCs devem ser configuradas com um endpoint de interface para Systems Manager
-
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
-
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
-
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
-
[ECR.5] Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys
-
[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
-
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
-
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro
-
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
-
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
-
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
-
[EFS.3] Os pontos de acesso do EFS devem impor um diretório raiz
-
[EFS.4] Os pontos de acesso do EFS devem impor uma identidade de usuário
-
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
-
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
-
[EKS.8] Os clusters EKS devem ter o registro de auditoria ativado
-
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
-
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
-
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
-
Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
-
[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos
-
[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado
-
[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada
-
[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma ACL da web AWS WAF
-
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
-
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
-
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
-
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada
-
[ES.2] Os domínios do Elasticsearch não devem ser acessíveis ao público
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch CloudWatch nos registros deve estar ativado
-
[ES.5] Os domínios do Elasticsearch devem ter o registro de auditoria ativado
-
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
-
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.1] As políticas da função Lambda devem proibir o acesso público
-
[Lambda.2] As funções Lambda devem usar tempos de execução compatíveis
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Lambda.7] As funções Lambda devem ter AWS X-Ray rastreamento ativo ativado
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
-
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
-
[MSK.2] Os clusters do MSK devem ter monitoramento aprimorado configurado
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.5] Os corretores ActiveMQ devem usar o modo de implantação active/standby
-
[MQ.6] Os corretores do RabbitMQ devem usar o modo de implantação de cluster
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada
-
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso ativada
-
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
-
[RDS.7] Os clusters do RDS devem ter a proteção contra exclusão ativada
-
[RDS.8] As instâncias de banco de dados do RDS devem ter a proteção de exclusão ativada
-
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch
-
[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
-
[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
-
[RDS.12] A autenticação do IAM deve ser configurada para clusters RDS
-
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
-
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
-
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
-
[RDS.45] Os clusters de banco de dados Aurora MySQL devem ter o registro de auditoria ativado
-
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
-
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
-
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
-
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
-
[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL
-
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
-
[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas
-
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado
-
[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
-
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS
-
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
-
[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager
-
[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado
-
[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.11] O registro de ACL AWS WAF da web deve estar ativado
-
As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch